Vasion Print (dawniej PrinterLogic) Virtual Appliance zawiera w obrazach Docker prywatny klucz GPG oraz hasło do niego przechowywane jawnym tekstem w plikach konfiguracyjnych. Podatność umożliwia atakującemu z dostępem administracyjnym przejęcie pełnej kontroli nad urządzeniem poprzez podpisanie i wgranie złośliwej aktualizacji firmware.
▸ Pokaż oryginał (EN)
Vasion Print (formerly PrinterLogic) Virtual Appliance Host prior to 22.0.862 and Application prior to 20.0.2014 (VA and SaaS deployments) contain Docker images with the private GPG key and passphrase for the account *no‑reply+virtual‑appliance@printerlogic.com*. The key is stored in cleartext and the passphrase is hardcoded in files. An attacker with administrative access to the appliance can extract the private key, import it into their own system, and subsequently decrypt GPG-encrypted files and sign arbitrary firmware update packages. A maliciously signed update can be uploaded by an admin‑level attacker and will be executed by the appliance, giving the attacker full control of the virtual appliance. This vulnerability has been identified by the vendor as: V-2023-010 — Hardcoded Private Key.
Prywatny klucz GPG powiązany z kontem no-reply+virtual-appliance@printerlogic.com jest składowany w postaci jawnego tekstu wewnątrz obrazów Docker dostarczanych z aplikacją, a hasło do klucza jest na stałe zakodowane w plikach systemowych (hardcoded passphrase). Atakujący posiadający dostęp administracyjny do urządzenia może wyodrębnić klucz prywatny i zaimportować go do własnego systemu. Następnie jest w stanie odszyfrować pliki zaszyfrowane GPG oraz podpisać dowolne pakiety aktualizacji firmware tak, by system uznał je za autentyczne. Złośliwa, podpisana aktualizacja wgrana przez atakującego zostanie wykonana przez appliance, przekazując mu pełną kontrolę nad urządzeniem.
Atakujący z uprawnieniami administracyjnymi może uzyskać pełną kontrolę nad Virtual Appliance, w tym możliwość odszyfrowania wrażliwych danych oraz dystrybucji złośliwych aktualizacji firmware. Skutkuje to całkowitym przejęciem urządzenia i potencjalnym naruszeniem integralności środowiska drukowania.
Należy zaktualizować Virtual Appliance Host do wersji 22.0.862 lub nowszej oraz Virtual Appliance Application do wersji 20.0.2014 lub nowszej. Patche dostępne są zgodnie z biuletynami bezpieczeństwa producenta pod adresami wskazanymi w referencjach. Do czasu aktualizacji zaleca się ograniczenie dostępu administracyjnego do appliance wyłącznie do zaufanych i ściśle kontrolowanych kont.
Vasion Print (dawniej PrinterLogic) Virtual Appliance Host w wersjach wcześniejszych niż 22.0.862 oraz Virtual Appliance Application w wersjach wcześniejszych niż 20.0.2014 — dotyczy wdrożeń VA oraz SaaS.
Podatność została zidentyfikowana przez producenta pod wewnętrznym identyfikatorem V-2023-010 — Hardcoded Private Key. Szczegółowa analiza techniczna dostępna jest w publicznym raporcie badacza bezpieczeństwa opublikowanym 8 kwietnia 2025 roku pod adresem pierrekim.github.io.
CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XVasion Virtual Appliance Application
APPVasion< 20.0.2014Vasion Virtual Appliance Host
APPVasion< 22.0.862
Powiązane podatności
Vasion Print Virtual Appliance — hasła w plikach plaintext dostępnych dla wszystkich
Vasion Print: hardcoded SSH key umożliwiający root access do appliance
Vasion Print Virtual Appliance — nieautoryzowane RCE przez firmware-upload
Vasion Print: hardcoded klucz prywatny CA i hasło w plikach konfiguracyjnych
Vasion Print: hardcoded klucz prywatny SSL we wszystkich instancjach